Menaces adaptatives très évasives et menaces persistantes avancées

Dans le monde en constante évolution de la sécurité des entreprises, les deux dernières années ont été marquées par un tourbillon de changements sans précédent. L'essor du travail à distance, de la migration dans le nuage et des applications SaaS (Software-as-a-Service) a révolutionné notre façon de travailler, mais a également ouvert une boîte de Pandore de vulnérabilités en matière de sécurité.

Un nouveau type d'attaquant est apparu, qui a appris à utiliser l'outil le plus crucial pour les travailleurs du savoir aujourd'hui : le navigateur web.

Le Des menaces adaptatives très évasives (HEAT) qu'elles utilisent pour compromettre les navigateurs, obtenir un accès initial au poste de travail et finalement déployer des menaces telles que des ransomwares ou des logiciels malveillants, sont inégalées dans leur capacité à échapper à la détection.

Compte tenu de leur capacité à échapper à la détection et à introduire des charges utiles malveillantes sur les terminaux, il est facile de confondre les attaques HEAT avec les menaces persistantes avancées (APT). Mais il existe des différences essentielles entre les deux, et elles opèrent à des stades complètement différents de la chaîne d'exécution des attaques.
En quoi les attaques HEAT diffèrent-elles exactement des APT ?

Qu'est-ce qu'une menace adaptative hautement évasive ?

Si l'on considère les menaces adaptatives hautement évasives (HEAT), on constate qu'il existe un grand nombre de menaces en volume. Mais l'essentiel pour les acteurs de la menace est de maximiser leurs chances de réussite. Les deux descripteurs clés du nom sont “évasif” et “adaptatif”, ce qui est très important pour l'attaquant. Ils veulent qu'ils soient aussi évasifs que possible pour éviter d'être détectés.

Cela signifie qu'ils savent comment contourner une technologie ou une technique de sécurité particulière qui est généralement en place. Qu'il s'agisse de la détection du phishing dans le courrier électronique ou du sandboxing, il existe un niveau raisonnablement bien compris de technologie “standard” en place pour protéger les organisations. Et s'ils savent qu'ils peuvent échapper à ce type de détection, ils ont plus de chances de réussir.

Il y a ensuite l'aspect adaptatif, la façon dont la technologie évolue au fil du temps pour maintenir cette capacité d'évasion. Un bon exemple est l'évitement de la réputation des URLAu lieu d'enregistrer rapidement un domaine rempli de contenu et de logiciels malveillants et de le diffuser, les attaquants s'adaptent à la manière dont les systèmes de réputation d'URL déterminent si un site est malveillant ou non et se comportent d'une manière dont ils savent qu'elle sera classée comme légitime. Les attaquants enregistrent un domaine pendant un certain temps avant de l'utiliser afin qu'il ne soit pas nouveau. Ils l'alimentent ensuite avec du contenu pertinent et sur un thème similaire, afin qu'il soit classé d'une certaine manière. Une fois qu'ils ont confirmé que le site est considéré comme bon, ils peuvent l'utiliser pour une attaque. Si les solutions de réputation d'URL ou le moteur changent, ils peuvent le surveiller et modifier ce qu'ils font avec ce site web avant de l'utiliser pour une attaque HEAT.

L'autre élément clé, c'est qu'il s'agit vraiment de l'accès initial. Il ne s'agit pas nécessairement d'une nouvelle classe de logiciels malveillants. Il s'agit d'une méthode très efficace pour introduire un contenu malveillant sur l'ordinateur d'une victime. Qu'il s'agisse d'un ransomware, d'un enregistreur de frappe ou de tout autre type de logiciel malveillant, ils utilisent les attaques HEAT pour y parvenir.

Pourquoi les équipes de sécurité devraient-elles se préoccuper des attaques HEAT ?

Tout d'abord, le volume des attaques. Les menaces en général augmentent, mais lorsque nous examinons les attaques HEAT et mesurons la fréquence à laquelle elles sont utilisées, nous constatons qu'elles augmentent également. Certains peuvent ne pas se préoccuper des attaques HEAT, ou ils peuvent le faire sans les qualifier de telles. Cela n'en reste pas moins un problème pour eux.

Je pense que l'autre chose importante dont ils devraient se préoccuper est la façon dont les attaques HEAT peuvent être utilisées par les opérateurs de Ransomware as a Service (RaaS) pour obtenir facilement un accès initial.

Le modèle économique de certains cybercriminels consiste à obtenir un accès initial au plus grand nombre de réseaux possible et à le vendre à quelqu'un qui souhaite déployer des logiciels malveillants sur ce réseau. Ils ne se contentent pas de le vendre à une seule personne, ils le vendent à plusieurs personnes, ce qui multiplie les effets de la violation. Une seule brèche peut permettre à cinq, dix, cent ou même plus d'acteurs de la menace de placer leurs logiciels malveillants sur ce réseau. On ne le voit peut-être pas, on ne le sent peut-être pas parce qu'il ne se passe rien, mais il faut vraiment s'en préoccuper, il faut se protéger contre cela.

Qu'est-ce qu'une menace persistante avancée (APT) ?

Une APT est une catégorie de menaces conçues pour être indétectables. Une fois qu'elles sont dans le réseau, elles sont conçues pour y rester le plus longtemps possible et faire ce que l'acteur de la menace veut faire avec cette menace – qu'il s'agisse de rechercher des données, de voler des données, de voler des informations d'identification ou de déployer des logiciels rançonneurs (ransomware). Ils sont utilisés par des groupes parrainés par une nation ou un État pour s'attaquer à des cibles de grande valeur, et récemment, le terme a été utilisé plus largement pour inclure certains groupes de logiciels criminels.

Quelle est la différence entre une attaque HEAT et une APT ?

L'attaque HEAT est utilisée pour l'accès initial au réseau, et l'APT peut ensuite être déployé. Il s'agit en fait des deux faces d'une même pièce, ou des deux parties d'un même processus. L'attaque HEAT permet d'accéder au réseau cible, puis l'APT se charge de faire les dégâts que l'on souhaite.

L'attaque HEAT elle-même ne va pas faire de dégâts – elle livre la chose qui fait les dégâts. Je pense que c'est la grande différence entre les deux. Mais il ne faut pas nécessairement les considérer comme distinctes et séparées, car elles peuvent être combinées et même utilisées dans la même attaque. Par exemple, le Nobelium a utilisé la contrebande HTML, qui est une caractéristique HEAT, pour acheminer les APT jusqu'à leurs victimes. C'est un bon exemple de l'utilisation conjointe des deux types d'attaques, plutôt que de leur chevauchement ou de leur séparation.

En ce début d'année, que devraient savoir les équipes de cybersécurité sur les attaques HEAT et le travail moderne ?

L'un des éléments clés est de considérer le travail hybride et les personnes qui travaillent à distance sur n'importe quel appareil connecté au réseau de l'entreprise, qu'il s'agisse d'un téléphone portable ou d'autre chose, ils doivent tous être traités comme un système unique. Si vous utilisez un Mac, il est connecté à votre iCloud, et donc tout ce qui arrive et vous attaque personnellement en tant que consommateur, ou peut-être en tant que professionnel parce qu'ils savent pour qui vous travaillez, peut être relayé vers votre appareil d'entreprise.

L'impact de cette exposition potentielle, en particulier en ce qui concerne les attaques HEAT, peut être énorme. Pour en revenir au fait que le HEAT concerne l'accès initial, si quelqu'un peut obtenir un accès initial à un de mes appareils personnels – que j'appellerai un appareil non géré – il peut être utilisé pour accéder aux ressources de l'entreprise.

C'est un problème énorme qui est presque exactement le même ou tout aussi grave, au moins, que l'accès initial à un appareil appartenant à l'entreprise avec tous les mêmes droits.

L'autre élément clé dont il faut être conscient est l'aspect adaptatif des choses. Il est évident que les choses vont changer. Les attaquants s'améliorent pour tromper la technologie mise en place pour sécuriser les organisations, mais aussi pour tromper les humains qui sont utilisés pour cliquer sur le lien, télécharger le fichier, ou quoi que ce soit d'autre, afin d'activer la menace. Au fil des ans, je pense que nous devons non seulement être mieux informés sur ce qu'il faut rechercher dans les attaques HEAT et sur leur fonctionnement, mais aussi améliorer le contrôle de la visibilité sur ce à quoi peut ressembler une attaque HEAT lorsqu'elle tente de pénétrer dans une organisation. Nous parlons beaucoup de prévention, mais je pense que nous devons également améliorer les niveaux de détection.

La troisième chose, et c'est peut-être la plus importante, est la visibilité dans le navigateur. Les attaques HEAT existent dans le trafic web. Elles existent dans le navigateur, et bien que le navigateur soit sur un point d'extrémité, les solutions de sécurité des points d'extrémité n'ont pas nécessairement de visibilité sur ce qui se passe à l'intérieur d'un navigateur. Le navigateur est une plateforme extrêmement puissante qui permet d'exécuter des scripts et du code. Il est possible de faire toutes ces choses à l'intérieur de l'application avant que quoi que ce soit ne se produise. Il s'agit là d'un énorme angle mort potentiel. Non seulement le navigateur est un angle mort, mais c'est aussi le point d'accès le plus ciblé.

Nous passons tellement de temps en ligne sur un navigateur. Chaque appareil est équipé d'un navigateur – il y a probablement plus de navigateurs que d'appareils. C'est l'application d'entreprise la plus largement déployée. Nous utilisons les navigateurs pour accéder à tout, pas seulement aux sites web, mais aussi aux applications. Le navigateur englobe tout ce que nous utilisons pour vivre et travailler, mais pour les solutions de sécurité traditionnelles telles que la détection et la réponse aux points finaux (EDR), il s'agit d'un trou noir en termes de visibilité. Ce n'est pas une fatalité.

Mark Guntrip, directeur principal de la stratégie en matière de cybersécurité à l'Institut de recherche sur les technologies de l'information et de la communication (IRIS) Menlo Security

Tu peux aussi lire :

Les stratégies de cybersécurité doivent évoluer en même temps que l'entreprise:

___________________________________________________________________________________________

Si tu aimes ce site web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.

• Individuel : £5 par mois ou £50 par an. S'inscrire

• Multi-utilisateurs, entreprises &amp ; comptes de bibliothèque disponibles sur demande

Renseignements sur la cybersécurité : Capturé, organisé et accessible